듀얼 부팅 Win7에서 NTFS 권한을 얻으려면 어떤 기본 제공 Windows 그룹을 사용해야 합니까?

tag-icon tag-icon windows-7 ntfs multi-boot
듀얼 부팅 Win7에서 NTFS 권한을 얻으려면 어떤 기본 제공 Windows 그룹을 사용해야 합니까?

일부 컴퓨터에서는 여전히 이중 부팅을 사용하고 있으므로 두 개의 Windows 7 설치가 실행되고 있습니다. 대부분의 데이터는 두 설치 모두에서 사용되는 별도의 하드 드라이브에 있는 파티션에 있습니다.

특정 파일의 경우 NTFS 권한을 설정해야 합니다. 사용자 계정이나 사용자 정의 Windows 그룹을 사용하여 이 작업을 수행하면 한 번의 설치에서 제대로 작동합니다. 두 번째 설치로 부팅할 때 ACL의 항목이 첫 번째 설치의 계정과 관련되어 있고 보안 대화 상자에 '알 수 없음'으로 표시되므로 사용자는 파일에 액세스할 수 없습니다.

이 문제를 해결하려면 기본 제공 Windows 그룹 중 하나를 사용할 수 있습니다. 해당 sid는 모든 Windows 설치에서 동일합니다.

문제는 기본 제공 그룹 중 어떤 것을 사용할 것인가입니다. 사용자에게 가능한 한 적은 추가 권한을 부여하고 싶습니다.

Administrators                  S-1-5-32-544
Backup Operators                S-1-5-32-551
Cryptographic Operators         S-1-5-32-569
Distributed COM Users           S-1-5-32-562
Event Log Readers               S-1-5-32-573
Guests                          S-1-5-32-546
IIS_IUSRS                       S-1-5-32-568
Network Configuration Operators S-1-5-32-556
Performance Log Users           S-1-5-32-559
Performance Monitor Users       S-1-5-32-558
Power Users                     S-1-5-32-547
Remote Desktop Users            S-1-5-32-555
Replicator                      S-1-5-32-552
Users                           S-1-5-32-545

관리자, 백업 운영자 또는 고급 사용자를 사용하고 싶지 않습니다. 이러한 그룹의 계정에는 강력한 권한이 있기 때문입니다. 나머지 중 가장 '강력한' 것은 무엇입니까?

또한 '손님'은 파일에 액세스할 수 없어야 하기 때문에 사용할 수 없습니다.

모든 일반 사용자가 해당 그룹에 속하지만 모든 사용자가 문제의 파일에 액세스할 수 있는 것은 아니기 때문에 '사용자'를 사용할 수 없습니다.

답변1

1 단어. 사용자.

사용자는 기본적으로 해당 컴퓨터에서 로컬로 인증할 수 있는 모든 사람입니다.

답변2

Windows Vista 이상에서는 'Power Users' 그룹이 거의 모든 권한을 잃은 것으로 보이며 해당 구성원은 본질적으로 'users' 그룹의 구성원만큼 강력합니다.

따라서 고급 사용자 그룹은 주어진 요구 사항에 적합한 후보입니다.

또한 'Replicator' 그룹에는 추가 사용자 권한이 없으며 AFAIK에는 보안 가능 개체에 대한 권한이 없습니다. Windows NT 시절의 레거시 그룹입니다.

서버를 사용하는 경우 '인쇄 운영자' 그룹이 또 다른 후보입니다.

편집하다: '고급 사용자'와 '인쇄 운영자' 그룹 모두 이 목적에 적합하지 않은 것으로 나타났습니다. 사용자가 이러한 그룹의 구성원이고 그룹이 리소스에 대한 쓰기 권한을 갖고 있는 경우에도 사용자에게는 리소스에 대한 쓰기 액세스 권한이 없습니다.

관리자 그룹과 마찬가지로 이 그룹도 특별하며 사용자가 그룹에 속해 있으면 로그온 시 분할 토큰을 받습니다. 이 그룹 멤버십을 통해 얻은 권한은 표준 사용자 토큰에 없으므로 리소스에 액세스할 수 없습니다.

이것을 입력하면 볼 수 있습니다

whoami /groups

'고급 사용자' 그룹의 속성은 다음과 같습니다.

Group used for deny only

'원격 데스크톱 사용자' 그룹에는 이 기능이 없지만 사용자가 RDP를 통해 로그온할 수 있게 되는 부작용이 있습니다. 따라서 이에 사용할 수 있는 유일한 그룹은복제기그룹

답변3

매우 실험적인 접근 방식 중 하나는 두 Windows 설치 모두 동일한 사용자 데이터베이스(SAM)를 사용하도록 하는 것입니다.

설치 1의 SAM 파일( )을 설치 2에 복사할 수 있다면 \Windows\System32\config\SAM사용자는 SID 수준까지 동일합니다.

비슷한 접근 방식은 각 설치에 그룹을 만든 다음 한 설치의 SAM 파일을 편집하여 해당 SID를 다른 설치에서 사용하는 SID로 변경하는 것입니다. 비밀번호 재설정 도구가 SAM을 수정하므로 이것이 가능한 방법일 수 있습니다.

나는 이것을 직접 시도한 적이 없습니다. 따라서 이러한 접근 방식을 시도하기 전에 시스템의 전체 백업이 있는지 확인하십시오...

관련 정보